sg sg-security-measures it_security_operations access_control
まず結論
CSPMとは、クラウド環境の設定や構成を継続的に確認し、設定ミスやセキュリティリスクを検知する仕組みです。
CSPMは、Cloud Security Posture Management の略で、クラウドセキュリティ態勢管理と呼ばれることがあります。
SG試験では、CSPMは「クラウドを安全に使うための検知・管理の仕組み」として押さえると分かりやすいです。
選択肢では、次のような表現に注意します。
- 「CSPMを導入すれば、利用者側の設定確認は不要になる」
- 「CSPMはマルウェアを駆除するための仕組みである」
- 「CSPMはクラウド事業者の責任範囲だけを監視する」
このような内容は、CSPMの説明としては不適切です。
CSPMは、クラウド利用者側の設定ミスを見つけ、是正につなげるための仕組みです。
直感的な説明
CSPMは、クラウド環境の「設定ミス点検ツール」と考えると分かりやすいです。
たとえば、会社のクラウド環境で次のような状態があったとします。
- 本来は非公開のストレージが外部公開になっている
- 管理者権限を持つユーザーが多すぎる
- 多要素認証が無効になっている
- ログ取得が設定されていない
- 不要な通信ポートが開いている
人が手作業で確認するだけでは、見落としが起きやすくなります。
クラウドは設定項目が多く、サービスの種類も増えやすいからです。
そこでCSPMを使うと、クラウド環境の設定を継続的にチェックし、危険な設定を検知しやすくなります。
ただし、CSPMは「見つける仕組み」であり、導入すれば自動的にすべて安全になるわけではありません。
検知した内容を確認し、必要に応じて修正する運用が大切です。
定義・仕組み
CSPMは、クラウド環境の設定や構成を継続的に評価し、セキュリティ上の不備を検知する仕組みです。
主に、IaaSやPaaSなどのクラウド環境で使われることが多いです。
IPAの資料でも、クラウド設定ミスを防ぐための技術的アプローチとして、CSPMが紹介されています。
参考: IPA|クラウドセキュリティ〜設定ミスとの付き合い方〜
CSPMの基本的な流れは、次のように整理できます。
| 流れ | 内容 |
|---|---|
| 1. クラウド環境を確認する | アカウント、権限、ネットワーク、ログ設定などを確認する |
| 2. 基準と照合する | セキュリティ基準や社内ルールと比べる |
| 3. リスクを検知する | 外部公開、過剰権限、ログ未設定などを見つける |
| 4. 担当者へ通知する | セキュリティ部門や運用部門に知らせる |
| 5. 是正する | 設定変更、権限見直し、ルール改善を行う |
CSPMで検知しやすい項目には、次のようなものがあります。
- ストレージの公開設定
- 管理者権限の過剰付与
- 多要素認証の未設定
- 暗号化設定の不備
- ログ取得の未設定
- セキュリティグループやファイアウォールの誤設定
- 社内ルールや基準に合わないクラウド構成
SG試験では、CSPMを「攻撃を直接防ぐ壁」とだけ考えないことが大切です。
CSPMは、クラウド環境の設定状態を可視化し、リスクを早く見つけるための仕組みです。
どんな場面で使う?
CSPMは、クラウドサービスを利用している組織で、設定ミスを継続的に見つけたい場面で使います。
特に、次のような場面で有効です。
- 複数のクラウド環境を利用している
- 部門ごとにクラウドを使っており、設定状況を把握しにくい
- IaaSやPaaSでサーバやネットワークを構築している
- クラウドストレージやデータベースの公開設定を確認したい
- セキュリティ基準に合っているか継続的に確認したい
たとえば、事業部門がクラウド環境を作り、セキュリティ部門が全体のリスクを確認する場合があります。
このときCSPMを使うと、設定ミスを検知し、セキュリティ部門から事業部門へ是正を依頼しやすくなります。
SG試験では、CSPMは検知して終わりではなく、是正までつなげる運用が必要と押さえます。
検知結果を誰が確認するのか、どの部門が修正するのか、修正後に再確認するのかを決めておくことが大切です。
よくある誤解・混同
誤解1:CSPMを入れれば設定ミスは自動的になくなる
これは誤りです。
CSPMは、設定ミスやリスクを検知しやすくする仕組みです。
検知した内容を確認し、必要な修正を行うのは組織の運用です。
選択肢で「CSPMを導入すれば、利用者側の管理は不要」と書かれていたら注意します。
誤解2:CSPMはマルウェア対策ソフトである
CSPMは、マルウェアを検知・駆除するソフトではありません。
主な対象は、クラウド環境の設定や構成です。
たとえば、外部公開、過剰権限、ログ未設定、暗号化不足などを確認します。
マルウェア対策は、不正なプログラムの検知・隔離・駆除が中心です。
CSPMは、クラウドの設定状態を見て、リスクのある状態を見つける仕組みです。
誤解3:CSPMとSSPMは同じ意味である
CSPMとSSPMは似ていますが、主な対象が違います。
| 用語 | 主な対象 | 判断基準 |
|---|---|---|
| CSPM | IaaS・PaaSなどのクラウド環境 | クラウド基盤や構成の設定を確認する |
| SSPM | SaaSアプリケーション | SaaSの設定や利用状態を確認する |
| CASB | クラウド利用全体の可視化・制御 | 利用状況やアクセス制御を管理する |
| 責任共有モデル | 事業者と利用者の責任分担 | 誰がどこを守るかを整理する |
SG試験では、次のように切り分けます。
- IaaSやPaaSの設定ミス検知なら CSPM
- SaaSの設定や利用状態の管理なら SSPM
- クラウド利用の可視化や制御なら CASB
- 事業者と利用者の責任分担なら 責任共有モデル
CSPMは、クラウド環境の設定ミスを検知する仕組みとして覚えると、選択肢を切りやすくなります。
まとめ(試験直前用)
CSPMは、クラウド環境の設定や構成を継続的に確認し、設定ミスやリスクを検知する仕組みです。
試験直前は、次の判断基準を押さえておきます。
- CSPMは、Cloud Security Posture Management の略
- クラウド環境の設定ミスや不適切な構成を検知する
- 主な対象は、IaaSやPaaSなどのクラウド環境
- 検知して終わりではなく、是正までつなげる運用が必要
- SSPMはSaaS、CSPMはクラウド基盤・構成寄りで切り分ける
選択肢では、「クラウド設定を継続的に確認し、リスクを検知する」という内容ならCSPMを考えます。
CSPMは、クラウドを安全に使うための万能ツールではなく、設定ミスを早く見つけ、修正につなげるための管理・検知の仕組みです。
🔗 関連記事
- アクセス制御モデルとは?RBAC・ABAC・DAC・MACの違いを整理【SG試験】
- 入退室管理とは?物理アクセス制御の基本【SG試験】
- アクセス管理とは?特権IDとneed-to-knowで権限を適切に制御【SG試験】
- アクセス権限管理とは?付与・変更・削除の流れを整理【SG試験】
- 管理者権限とは?特権的アクセス権との違いを整理【SG試験】